Saiba como sua localização pode te proteger sem ferir sua privacidade
Por meio de localização, Wi-Fi e outros sinais do dispositivo, tecnologia promete mais proteção (e menos fricção) ao acessar aplicativosBy - Igor Shimabukuro, 25 março 2022 às 9:05
Já imaginou usar a localização, Bluetooth e outros sinais de seu smartphone para validar o acesso a um determinado aplicativo e provar que você, de fato, é você? O método pode não soar como algo novo, mas há quem encontre maneiras novas — incluindo uma tecnologia pioneira — para fazer isso.
Este parece ser o caso da Incognia: uma companhia privacy-by-design focada em tecnologias antifraude que promete oferecer uma solução extra (e inovadora) de segurança para as empresas e, ao mesmo tempo, reduzir a fricção de seus usuários. E tudo isso aliado à proteção dos dados dos indivíduos.
Em busca de entender mais sobre a empresa, bem como o funcionamento e peculiaridades da tecnologia, a equipe do blog KaBuM! conversou com Lucas Queiroz, cofundador e Chief Security Officer (CSO) da Incognia. Confira abaixo os principais pontos desse bate-papo.
Prazer, Incognia
Antes de falar sobre essa tal tecnologia baseada principalmente na localização de dispositivos móveis é preciso voltar um pouco no tempo para entender um pouco mais sobre a trajetória da Incognia. Mais especificamente voltar oito anos atrás.
Isso porque foi nesta data em que surgiu a In Loco Media, antiga Incognia. Em 2014, a companhia já utilizava uma tecnologia própria capaz de identificar a posição geográfica de smartphones. Na época, a aplicação fornecia ofertas a pessoas que passassem na frente de um estabelecimento — sim, as notificações eram consentidas pelo usuário.
O início até foi promissor — com crescimento anual de 100% entre 2014 a 2019 —, mas a In Loco certamente não contava com uma pandemia global que impactaria o mundo inteiro em 2020. Com isso, restou à empresa aproveitar de sua tecnologia para aplicá-la em outras áreas e sobreviver no mercado.
Com isso, a In Loco Media foi reestruturada para Incognia em março de 2020. E a “pivotada” foi das grandes. A sede em Recife passou a ser na Califórnia (EUA). O foco em marketing foi redirecionado para sistemas antifraude. E a tecnologia, claro, foi otimizada.
“Já tínhamos uma estrutura voltada para o setor antifraude, já tínhamos um certo produto e refizemos a empresa em cima disso tudo. Mas hoje somos uma outra empresa, não dá pra comparar. Houve uma mudança geral, especialmente na aplicação da tecnologia de localização”, destacou Queiroz.
A mudança deu certo. A Incognia cresceu 10 vezes mais rápido que a In Loco Media apenas no seu primeiro ano de existência. E hoje, a companhia já começa a atrair a atenção de empresas e investidores ao redor do mundo.
A tal da tecnologia baseada em localização
Dado o breve resumo sobre a companhia e sua trajetória no mercado, é hora de entender o que a Incognia tem a oferecer para o mercado.
Quem acessa apps bancários, carteiras digitais ou qualquer outra plataforma que exija um certo nível de segurança certamente já está acostumado com algumas medidas de proteção para mobile como biometria facial ou digital, senhas (PINs) ou confirmação de dados pessoais, certo?
As ações são compreensíveis, uma vez que as tentativas de fraudes digitais totalizaram R$ 5,8 bilhões em 2021, segundo levantamento ClearSale. Mas para o usuário, essas fricções podem ser motivo de descontentamento. Provar que você é você a todo instante? Tão cansativo quanto receber ligações diárias de telemarketing.
“Apps que precisam de uma segurança maior podem apresentar um processo onboarding com muita fricção. Você é um usuário legítimo e está usando o app corretamente, logo, não deveria ser cobrado toda vez com uma foto do rosto. Essa fricção atrapalha o usuário”, pontuou o executivo.
A ideia da Incognia é justamente reduzir essa fricção, mas sem pecar na segurança do usuário. Como? Por meio de sinais coletados do dispositivo móvel como localização, Bluetooth, Wi-Fi, GPS, entre outros, que criam uma espécie de perfil baseado em comportamento de localização. Parece complicado, mas não é.
Imagine um indivíduo residente na Zona Sul de São Paulo que tenha uma rotina de trabalho e atividades próximas de sua casa. A tecnologia da Incognia então vai coletar todos esses sinais para traçar um “mapa” privado deste usuário, que será considerado em suas atividades via dispositivos móveis.
Se o acesso a um determinado app acontecer dentro do raio natural na rotina do indivíduo, o processo de login ocorre normalmente. Mas caso seja detectado alguma atividade de um local fora do padrão comportamental do usuário, outras medidas de segurança podem ser exigidas para validar o acesso.
Com isso, a tecnologia elimina todos os processos burocráticos ao fazer uma transação bancária ou logar em determinado aplicativo. Tudo com base no perfil construído a partir do comportamento de localização do usuário — que por sinal, se atualiza constantemente adicionando novas rotas e trajetos feitos pela pessoa.
Essa tecnologia da Incognia é compilada em um SDK (kit de desenvolvimento de software) para que as empresas instalem o código em seus aplicativos. O resultado, segundo Queiroz, é uma “experiência muito mais fluida, sem fricções e com bastante segurança”.
Dúvidas e mais dúvidas
Embora o SDK da Incognia já seja realidade para milhões de usuários, o mecanismo ainda é algo desconhecido e, de certa, diferente para a maioria das pessoas. Somado ao fato de ser uma tecnologia única, é natural que diversas dúvidas venham à tona.
Este mapeamento, de fato, garante uma proteção extra?
Um dos principais questionamentos é se este mapeamento baseado na localização é suficiente para garantir a proteção ao usuário, tendo em vista que os cibercriminosos estão cada vez mais aperfeiçoando suas técnicas para golpes e fraudes. A resposta é “sim”, de acordo com o cofundador da Incognia.
Prova disso é um levantamento feito com mais de 100 milhões de dispositivos “equipados” com a tecnologia da Incognia. A pesquisa chegou a levantar algumas informações interessantes:
- 90% dos logins de usuários legítimos ocorrem a partir de localizações confiáveis;
- 95% das transações sensíveis não-fraudulentas ocorrem a partir de localizações confiáveis;
- 88% das compras legítimas em e-commerce ocorrem a partir de localizações confiáveis;
- 85% dos usuários legítimos abrem contas em bancos digitais a partir de seu endereço residencial;
- 93% dos endereços de faturamento utilizados em compras legítimas de e-commerce são endereços residenciais.
Basta ligar esses dados à atividade do usuário para traçar uma espécie de padrão de sessões feitas em pontos considerados seguros (trusted locations, em inglês). Além disso, essa localização mais assertiva facilita o processo de cadastramentos que exigem validação por meio de comprovantes de residência, por exemplo.
Para quem duvida da eficácia, vale conferir o case público com a fintech will bank. Após aderir à tecnologia, a instituição observou uma queda de 80% de casos de roubo de conta e zero casos de roubo de conta com a localização ativa — calma que falaremos disso mais tarde.
Quais ameaças a tecnologia mitiga
Embora a account takeover — contas comprometidas após o ator ter obtido as credenciais da vítima — seja a principal ameaça combatida, o SDK também é utilizado para filtrar contas falsas, além de detectar root e emuladores, por exemplo.
Ela é melhor que outras validações?
“Mas por que usar esses sinais do dispositivo ao invés de um PIN ou biometria digital?”, podem estar se perguntando alguns. Para Queiroz, a vantagem está justamente no fato de o mecanismo dificultar que um fraudador replique os “passos” de uma vítima.
“O comportamento é uma métrica difícil de ser replicada. Como um fraudador vai conseguir copiar o seu comportamento e tentar se passar por você? É muito difícil. A biometria facial tem vários casos de pessoas usando imagens de terceiros. Se for só dado de IP, o usuário pode usar uma VPN e as pessoas podem utilizar apps de fake GPS. O fato de você usar localização e criar um comportamento do usuário por meio de uma tecnologia mais assertiva, que também usa sinais de Wi-Fi, Bluetooth e redes de celulares torna muito mais difícil a prática de forjar dados para conseguir acesso à conta”, disse Lucas Queiroz.
Mas e a questão da privacidade?
A principal dúvida, no entanto, é como a empresa consegue coletar todos esses dados e ainda assim assegurar a privacidade das informações do usuário. Mais proteção, mas em troca, mais coleta de sinais? Vale a pena? O receio é completamente compreensível.
Mas antes de tudo, é necessário entender alguns pontos importantes. O primeiro deles é que a Incognia não coleta nenhuma informação pessoalmente identificável (PII), segundo o cofundador da companhia.
“Não coletamos nome, CPF, RG, identidade ou qualquer coisa do tipo. Na verdade, coletamos sinais, dados anônimos do usuário. A ideia é: existe um dispositivo e esse aparelho pertence a uma conta vinculada a um código. Nós iremos mapear o dispositivo, mas não sabemos quem são as pessoas. Isso dá uma proteção interessante”, explicou Queiroz.
Ainda segundo o executivo, esse código vinculado ao dispositivo (chamado de ID) é usado apenas para analisar as avaliações de risco de determinado aparelho. Além disso, a Incognia aplica técnicas de pseudo-anonimização, criptografia e hashes para proteger os IDs.
Mesmo que a companhia destaque que a coleta de dados para prevenção de fraudes não exija o consentimento explícito do usuário, segundo a própria Lei Geral de Proteção de Dados Pessoais (LGPD), ela destaca que usuário não é obrigado a fornecer seus dados de localização e que a permissão precisará ser concedida por ele.
A boa notícia é que a tecnologia também pode funcionar bem sem esse dado precioso. Neste caso, a empresa vai utilizar outros dados do dispositivo (saber se o aparelho está usando um emulador ou jailbreak, por exemplo), que serão usados para construir as avaliações de risco.
Futuro da Incognia
Atualmente com mais de 150 milhões de usuários em sua base, a Incognia agora tem uma meta para 2022: crescer. E essa expansão se dará tanto no Brasil quanto lá fora. Na prática, isso deve ser visto com a captação de novos clientes e novas parcerias.
“Temos vários clientes aqui no Brasil. Só não fechamos ainda acordos para tornar os cases públicos. A ideia é expandir por aqui e em outras regiões. Estamos com sede nos EUA, que já atende o mundo de forma geral. Mas também estamos fechando com clientes na Europa e Asia”, revelou o executivo.
Por ora, a tecnologia de localização da Incognia deve permanecer como algo novo e, talvez até distante para muita gente. Mas se tudo correr conforme os planos da empresa, o SDK certamente vai passar a fazer parte da rotina dos usuários móveis — sejam eles daqui ou da gringa.
Comentários